B. LES MESURES DE SOUTIEN À L'INNOVATION, NOTAMMENT LA POSSIBILITÉ D'EFFECTUER DES EXPÉRIMENTATIONS CONTRÔLÉES EN CONDITIONS DÉROGATOIRES, DEVRAIENT ÊTRE RENFORCÉES, AFIN DE GARANTIR LA COMPÉTITIVITÉ EUROPÉENNE EN MATIÈRE D'IA
1. Certaines obligations figurant dans le texte initial de la Commission sont inapplicables, de par la nature même des technologies d'intelligence artificielle
Le processus d'apprentissage des systèmes d'IA repose en grande partie sur le recours à des jeux de données, c'est-à-dire de vastes ensembles d'informations numériques, qui peuvent être très difficiles à concevoir au vu de leur taille et de complexité. L'article 10 de la proposition de règlement prévoit que « [l]es jeux de données d'entraînement, de validation et de test sont pertinents, représentatifs, exempts d'erreurs et complets » (3). Prenant acte de l'impossibilité matérielle de parvenir à de telles caractéristiques, la présidence française du Conseil de l'Union européenne a introduit une atténuation à ces exigences, en ajoutant l'expression « dans la mesure du possible »36(*).
Afin, cependant, de ne pas amoindrir exagérément les garanties posées par la proposition, il serait souhaitable de renforcer les exigences en matière de documentation sur les données exploitées par les systèmes d'IA, notamment les conditions de collecte (telles que la zone géographique et la temporalité) et les éventuelles lacunes identifiées au sein des jeux de données. Le recours à des normes ou standards techniques, qui restent à établir, pourrait à ce titre être encouragé.
Concernant la qualité des jeux de données, il est nécessaire de distinguer, pour les systèmes d'IA reposant sur l'apprentissage automatique, la phase d'apprentissage de la phase de production (déploiement opérationnel du système) : ces deux étapes, qui n'ont pas le même objectif, doivent être bien séparées, notamment, en ce qui concerne les données à caractère personnel, du point de vue de la détermination de la finalité du traitement. En effet, le RGPD trouve à s'appliquer différemment dans chacune de ces deux phases, la phase d'apprentissage nécessitant souvent un accès à des données plus nombreuses, mais susceptibles de moindres conséquences sur les individus, notamment du fait de leur moindre exposition (accès limité, moindre vulnérabilité à des cyberattaques du fait d'un fonctionnement souvent en circuit fermé).
Les rapporteurs insistent sur l'importance de garantir que les données utilisées pour l'apprentissage des systèmes d'IA soient obtenues de manière licite et conforme à la réglementation européenne en matière de protection des données. Dans cette perspective, obligation pourrait être faite aux fournisseurs, préalablement à l'utilisation de toutes données à caractère personnel ou non, de vérifier les conditions dans lesquelles ces dernières ont été acquises.
Enfin, le RGPD comprend des dispositions spécifiques à la recherche scientifique, qui trouvent la plupart du temps à s'appliquer dans la phase d'apprentissage des systèmes d'IA.
En ce qui concerne l'articulation avec le RGPD, les rapporteurs de la commission des affaires européennes recommandent, au vu de l'éclairage apporté par les représentants de la CNIL, l'édiction de lignes directrices par le Comité européen de la protection des données (EDPB) ou, à défaut, par les autorités nationales de protection des données, afin, sans modifier ce texte fondateur, d'expliciter ses marges de manoeuvre et la souplesse avec laquelle il peut être interprété, dans le but de ne pas entraver le développement de l'IA en Europe. Cependant, afin de ne pas amoindrir le haut degré de protection dont jouissent les citoyens européens en ce qui concerne la protection de leurs données à caractère personnel, il devrait être précisé explicitement dans le texte du règlement sur l'IA que celui-ci est sans préjudice du RGPD, et que la conformité d'un système au règlement IA n'implique pas sa conformité au RGPD37(*), qui ne repose pas sur les mêmes acteurs38(*).
L'article 10, point 5, de la proposition de règlement prévoit que « les fournisseurs [de systèmes d'IA] peuvent traiter des catégories particulières de données à caractère personnel » aux fins de surveillance, détection et correction de biais éventuels du système. La CNIL, tout comme l'EDPB et l'EDPS, considèrent qu'il s'agit là d'une nouvelle base légale, en plus de celles prévues par le RGPD, permettant de déroger à l'interdiction de traitement de données sensibles prévue à l'article 9 du RGPD. Cependant, dans la mesure où cette dérogation vise précisément à lutter contre les biais et le caractère potentiellement discriminatoire du fonctionnement de certains systèmes d'IA, il convient de la soutenir, tout en l'encadrant suffisamment pour qu'elle ne serve pas d'alibi à une utilisation détournée, notamment commerciale, de ces données sensibles.
Parmi les autres obligations pesant sur les fournisseurs qui paraissent concrètement impossibles à mettre en place, figurent d'une part, l'obligation, pour ces derniers, de fournir la liste de toutes les mauvaises utilisations prévisibles du système, obligation qui devrait être mieux caractérisée pour pouvoir être mise en oeuvre ; d'autre part, l'obligation de gestion et d'atténuation des risques par le fournisseur, obligation qui ne devrait, logiquement, concerner que les risques identifiés, et non l'intégralité des risques.
Il importe, enfin pour les rapporteurs, que les obligations pesant sur les fournisseurs soient précisées, afin que dès l'étape du développement, les systèmes d'IA respectent un socle de normes éthiques, selon les principes de legacy et de safety by design.
2. Les mesures de soutien à l'innovation, notamment la possibilité d'effectuer des expérimentations contrôlées en conditions dérogatoires, devraient être renforcées, afin de garantir la compétitivité de l'Union européenne en matière d'IA
Si les rapporteurs de la commission des affaires européennes approuvent le principe d'une réglementation visant à encadrer le déploiement et les usages de l'IA, ils partagent les préoccupations exprimées par plusieurs de leurs interlocuteurs concernant la capacité de l'Union européenne, qui n'est actuellement pas leader en matière d'IA, à résister à la compétition mondiale, a fortiori en imposant à ses développeurs des conditions plus contraignantes que dans d'autres régions du monde39(*). Malgré ce risque, la Commission européenne estime qu'une absence de réglementation, en minant la confiance dans l'IA, serait in fine encore plus préjudiciable à son développement, et à terme plus coûteuse économiquement.
Pour cette raison, les rapporteurs de la commission des affaires européennes souhaitent souligner l'importance pour l'Union européenne et ses États membres d'investir également les instances de normalisation internationales, afin de promouvoir à cette échelle des normes ambitieuses en matière de robustesse, de cybersécurité et de protection des droits fondamentaux répondant à la conception européenne de l'IA, afin d'éviter que ces exigences pèsent seulement sur les fournisseurs ciblant le marché européen, et de favoriser au contraire les industriels européens.
Afin de soutenir l'innovation en Europe, le titre V de la proposition de règlement encourage les autorités nationales des différents États membres à mettre en place des bacs à sable réglementaires, qui offriraient « un environnement contrôlé pour mettre à l'essai des technologies novatrices sur une durée limitée »40(*). Cependant, leur valeur ajoutée ne semblait pas évidente, à première vue, dans la proposition initiale de la Commission, dans la mesure où les utilisateurs semblaient rester soumis, y compris dans le cadre du « bac à sable », à l'intégralité de leurs obligations au titre du règlement et du reste de la législation européenne : seul un accès privilégié aux autorités de régulations, propres à leur fournir des conseils, semblait en fait garanti. Les discussions au Conseil, notamment sous présidence française au premier semestre 2022, ont permis de modifier significativement le fonctionnement des bacs à sable réglementaires.
En vue de favoriser l'innovation, notamment de la part de petits acteurs et startups, les rapporteurs de la commission des affaires européennes soutiennent également l'accès préférentiel aux bacs à sables réglementaires pour ces derniers - qui pourrait également passer par des coûts moindres, voire inexistants. L'accès à des facilités de ce type semble en effet préférable, de manière générale, à des exonérations d'obligations réglementaires, car, dans le domaine numérique plus peut-être que dans tout autre, les dommages susceptibles d'être causés par un algorithme largement diffusé peuvent être sans commune mesure avec la taille de l'entreprise, mesurée en chiffre d'affaires ou en nombre de salariés, qui sont les indicateurs retenus dans la réglementation européenne.
Les modalités et conditions de fonctionnement des bacs à sables réglementaires seront déterminées par la Commission européenne, par la voie d'actes d'exécution. Il conviendra donc que ces modalités, si leurs principes ne sont pas inscrits « en dur » dans l'article 53 du règlement IA, soient soumises pour avis au Comité européen de l'intelligence artificielle. En tout état de cause, il importe que le fonctionnement de ces bacs à sables réglementaires soit aussi homogène que possible à travers les États membres, afin de garantir une concurrence équitable et d'encourager l'innovation.
Les rapporteurs de la commission des affaires européennes souhaitent également souligner les bénéfices à attendre d'un soutien accru à la recherche en matière de risques. Le développement de capacités d'analyse des risques au cas par cas permettrait ainsi, dans la logique même de la proposition de la Commission, de renforcer la confiance dans l'IA et son adoption, stimulant ainsi le marché correspondant.
* 36 Le considérant 44 indiquait déjà, dans la proposition de la Commission, que les jeux de données devaient être « suffisamment pertinents, représentatifs, exempts d'erreurs et complets au regard de la destination du système ».
* 37 Ainsi que précisé dans l'exposé des motifs, et sous-entendu au considérant 41 de la proposition de règlement, mais non indiqué explicitement dans le texte même de la proposition de règlement.
* 38 Les obligations du règlement sur l'IA pèsent sur les fournisseurs, tandis que les obligations de mise en conformité avec le RGPD pèsent sur les responsables de traitement de données.
* 39 Les obligations introduites par le règlement concernent l'ensemble des systèmes d'IA mis en service ou sur le marché dans l'Union européenne, quel que soit le lieu d'établissement des fournisseurs du système, ainsi que les systèmes d'IA dont les résultats sont utilisés dans l'Union, y compris si les fournisseurs ou utilisateurs sont situés dans un pays tiers. Néanmoins, les fournisseurs issus de pays tiers pourraient bénéficier dans leurs pays d'origine de conditions de développement et d'entraînement des systèmes d'IA moins contraignantes, susceptibles de leur donner un avantage comparatif sur les fournisseurs européens, au moment de la mise sur le marché dans l'Union.
* 40 P. 17 de la proposition d'exposé des motifs.